Přehledy a vytváření sestav podmíněného přístupu

  • Článek

Sešit Přehledy a vytváření sestav podmíněného přístupu umožňují pochopit dopad zásad podmíněného přístupu v organizaci v průběhu času. Při přihlašování se může použít jedna nebo více zásad podmíněného přístupu, které udělí přístup, pokud jsou některé ovládací prvky udělení splněné nebo jinak přístup odepře. Vzhledem k tomu, že při každém přihlášení může být vyhodnoceno více zásad podmíněného přístupu, umožňuje sešit přehledů a sestav prozkoumat dopad jednotlivých zásad nebo podmnožinu všech zásad.

Požadavky

Pokud chcete povolit sešit přehledů a sestav, váš tenant musí mít:

  • Pracovní prostor služby Log Analytics pro uchovávání dat protokolů přihlašování.
  • Licence Microsoft Entra ID P1 pro použití podmíněného přístupu

Uživatelé musí mít přiřazenou alespoň roli Čtenář zabezpečení a přiřazené role Přispěvatel pracovního prostoru služby Log Analytics.

Streamování protokolů přihlašování z ID Microsoft Entra do protokolů služby Azure Monitor

Pokud jste neintegrovanou protokoly Microsoft Entra s protokoly služby Azure Monitor, musíte před načtením sešitu provést následující kroky:

  1. Vytvořte pracovní prostor služby Log Analytics ve službě Azure Monitor.
  2. Integrujte protokoly Microsoft Entra s protokoly azure Monitoru.

Jak to funguje

Přístup k přehledům a sešitu sestav:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte k podmíněnému přístupu k> ochraně>Přehledy a vytváření sestav.

Začínáme: Výběr parametrů

Řídicí panel přehledů a sestav umožňuje zobrazit dopad jedné nebo více zásad podmíněného přístupu za určité období. Začněte nastavením jednotlivých parametrů v horní části sešitu.

Screenshot showing the Conditional Access insights and reporting workbook.

Zásady podmíněného přístupu: Pokud chcete zobrazit jejich kombinovaný dopad, vyberte jednu nebo více zásad podmíněného přístupu. Zásady jsou rozdělené do dvou skupin: Povolené a zásady jen pro sestavy. Ve výchozím nastavení jsou vybrané všechny povolené zásady. Tyto povolené zásady jsou aktuálně vynucené ve vašem tenantovi.

Časový rozsah: Vyberte časový rozsah od 4 hodin do 90 dnů. Pokud jste vybrali časový rozsah dále než při integraci protokolů Microsoft Entra se službou Azure Monitor, zobrazí se pouze přihlášení po době integrace.

Uživatel: Ve výchozím nastavení řídicí panel zobrazuje dopad vybraných zásad pro všechny uživatele. Pokud chcete filtrovat podle jednotlivého uživatele, zadejte do textového pole jméno uživatele. Pokud chcete filtrovat podle všech uživatelů, zadejte do textového pole všechny uživatele nebo parametr nechejte prázdný.

Aplikace: Ve výchozím nastavení řídicí panel zobrazuje dopad vybraných zásad pro všechny aplikace. Pokud chcete filtrovat podle jednotlivé aplikace, zadejte název aplikace do textového pole. Pokud chcete filtrovat podle všech aplikací, zadejte do textového pole všechny aplikace nebo nechte parametr prázdný.

Zobrazení dat: Vyberte, jestli má řídicí panel zobrazovat výsledky z hlediska počtu uživatelů nebo počtu přihlášení. Jednotliví uživatelé můžou mít stovky přihlášení k mnoha aplikacím s mnoha různými výsledky v daném časovém rozsahu. Pokud vyberete zobrazení dat jako uživatelé, může být uživatel zahrnut do počtu úspěchů i selhání. Pokud je například 10 uživatelů, může mít 8 z nich výsledek úspěchu za posledních 30 dní a 9 z nich může mít za posledních 30 dnů chybu.

Shrnutí dopadu

Po nastavení parametrů se souhrn dopadu načte. Souhrn ukazuje, kolik uživatelů nebo přihlášení během časového rozsahu vedlo k úspěchu, selhání, požadované akci uživatele nebo nepoužité při vyhodnocení vybraných zásad.

Screenshot showing an example impact summary in the Conditional Access workbook.

Celkem: Počet uživatelů nebo přihlášení během časového období, ve kterém byla vyhodnocena aspoň jedna z vybraných zásad.

Úspěch: Počet uživatelů nebo přihlášení během časového období, ve kterém byl kombinovaný výsledek vybraných zásad Úspěch nebo Pouze sestava: Úspěch.

Selhání: Počet uživatelů nebo přihlášení během časového období, kdy byl výsledek alespoň jedné z vybraných zásad Chyba nebo Pouze sestava: Selhání.

Vyžaduje se akce uživatele: Počet uživatelů nebo přihlášení během časového období, ve kterém byl kombinovaný výsledek vybraných zásad pouze sestava: Požadována akce uživatele. Akce uživatele se vyžaduje, když se vyžaduje interaktivní řízení udělení, například vícefaktorové ověřování. Vzhledem k tomu, že interaktivní ovládací prvky udělení nejsou vynuceny zásadami jen pro sestavy, nelze určit úspěch nebo selhání.

Nepoužívá se: Počet uživatelů nebo přihlášení během časového období, kdy se nepoužádly žádné z vybraných zásad.

Vysvětlení dopadu

Screenshot showing a workbook breakdown per condition and status.

Prohlédněte si rozpis uživatelů nebo přihlášení pro každou z podmínek. Přihlášení konkrétního výsledku (například Úspěch nebo Selhání) můžete filtrovat tak, že vyberete souhrnné dlaždice v horní části sešitu. Zobrazí se rozpis přihlášení pro jednotlivé podmínky podmíněného přístupu: stav zařízení, platforma zařízení, klientská aplikace, umístění, aplikace a riziko přihlášení.

Podrobnosti o přihlášení

Screenshot showing workbook sign-in details.

Přihlašovací přihlášení konkrétního uživatele můžete také prozkoumat vyhledáním přihlášení v dolní části řídicího panelu. Dotaz zobrazuje nejčastější uživatele. Výběr uživatele vyfiltruje dotaz.

Poznámka:

Při stahování protokolů přihlašování zvolte formát JSON, aby obsahoval data výsledků jen pro podmíněný přístup.

Konfigurace zásad podmíněného přístupu v režimu jen pro sestavy

Konfigurace zásad podmíněného přístupu v režimu jen pro sestavy:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte existující zásadu nebo vytvořte novou zásadu.
  4. V části Povolit zásadu nastavte přepínač na režim pouze sestav.
  5. Zvolte Uložit.

Tip

Úprava stavu Povolit zásadu existující zásady z Zapnuto na Sestava zakáže pouze stávající vynucování zásad.

Řešení problému

Proč dochází k selhání dotazů kvůli chybě oprávnění?

Pro přístup k sešitu potřebujete správná oprávnění v Microsoft Entra ID a Log Analytics. Pokud chcete otestovat, jestli máte správná oprávnění k pracovnímu prostoru, spuštěním ukázkového dotazu log Analytics:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte do služby Log Analytics pro monitorování identit>a stav.>
  3. Zadejte SigninLogs do pole dotazu a vyberte Spustit.
  4. Pokud dotaz nevrací žádné výsledky, je možné, že váš pracovní prostor není správně nakonfigurovaný.

Screenshot showing how to troubleshoot failing queries.

Další informace o tom, jak streamovat protokoly přihlašování Microsoft Entra do pracovního prostoru služby Log Analytics, najdete v článku Integrace protokolů Microsoft Entra s protokoly služby Azure Monitor.

Proč se dotazy v sešitu nedaří?

Zákazníci si všimnou, že dotazy někdy selžou, pokud je k sešitu přidruženo nesprávné nebo více pracovních prostorů. Chcete-li tento problém vyřešit, vyberte Upravit v horní části sešitu a potom Nastavení ozubené kolo. Vyberte a pak odeberte pracovní prostory, které nejsou přidružené k sešitu. Ke každému sešitu by měl být přidružený jenom jeden pracovní prostor.

Proč je parametr zásad podmíněného přístupu prázdný?

Seznam zásad se vygeneruje tak, že se podíváte na zásady vyhodnocené pro nejnovější událost přihlášení. Pokud ve vašem tenantovi nejsou žádná poslední přihlášení, možná budete muset několik minut počkat, než sešit načte seznam zásad podmíněného přístupu. K prázdným výsledkům může dojít okamžitě po konfiguraci Log Analytics nebo v případě, že tenant nemá nedávnou přihlašovací aktivitu.

Proč načítání sešitu trvá dlouho?

V závislosti na vybraném časovém rozsahu a velikosti tenanta může sešit vyhodnocovat mimořádně velký počet událostí přihlášení. U velkých tenantů může objem přihlášení překročit kapacitu dotazů služby Log Analytics. Zkuste zkrátit časový rozsah na 4 hodiny a pak se podívejte, jestli se sešit načte.

Proč sešit po dobu několika minut vrací nulové výsledky?

Pokud objem přihlášení překročí kapacitu dotazu služby Log Analytics, vrátí sešit nulové výsledky. Zkuste zkrátit časový rozsah na 4 hodiny a pak se podívejte, jestli se sešit načte.

Můžu uložit výběry parametrů?

Výběry parametrů můžete uložit v horní části sešitu tak, že přejdete do >části Sešity>podmíněného přístupu monitorování identit a stavu>Přehledy a vytváření sestav. Tady najdete šablonu sešitu, kde můžete sešit upravit a uložit kopii do pracovního prostoru, včetně výběrů parametrů, v sestavách nebo sdílených sestavách.

Můžu sešit upravit a přizpůsobit pomocí jiných dotazů?

Sešit můžete upravit a přizpůsobit tak, že přejdete do části Sešity>monitorování identit>a podmíněného přístupu k nim>Přehledy a vytváření sestav. Tady najdete šablonu sešitu, kde můžete sešit upravit a uložit kopii do pracovního prostoru, včetně výběrů parametrů, v sestavách nebo sdílených sestavách. Pokud chcete začít upravovat dotazy, vyberte Upravit v horní části sešitu.

Související obsah